修改 HTTP 标头以优化网站安全和性能

HTTP 标头是在 Web 浏览器和 Web 服务器之间发送的附加信息片段。它们用于控制缓存、安全设置、内容类型等各种方面。通过修改这些标头，网站所有者可以提升其网站的安全性和性能。

安全标头

1. 内容安全策略 (CSP)

CSP 允许网站所有者指定可以从其网站加载的脚本、样式表和图像。它有助于防止跨站点脚本 (XSS) 攻击，因为攻击者无法在未经授权的域中加载恶意脚本。

Content-Security-Policy: default-src 'self'; script-src 'self' 'https://example.com';

2. X-Frame-Options

X-Frame-Options 标头可防止将网站嵌入到其他域的 iframe 中。这有助于防止点击劫持攻击，其中攻击者诱骗用户在恶意网站上单击看似无害的链接。

X-Frame-Options: SAMEORIGIN

3. X-XSS-Protection

X-XSS-Protection 标头启用服务器端的 XSS 过滤。它有助于防止 XSS 攻击，即使攻击者能够绕过 CSP。

X-XSS-Protection: 1; mode=block

性能标头

1. 缓存控制

缓存控制标头允许网站所有者控制浏览器如何缓存网站资源。通过指定缓存持续时间和缓存验证机制，网站所有者可以减少浏览器请求的数量，从而提高加载速度。

Cache-Control: public, max-age=3600, stale-while-revalidate=86400

2. 内容编码

内容编码标头告知浏览器服务器已使用哪种压缩方法对响应内容进行编码。这允许浏览器在下载内容之前对其进行解压缩，从而减少带宽使用和缩短加载时间。

Content-Encoding: gzip

3. Vary

Vary 标头告知浏览器服务器响应是否会根据请求标头（例如 Accept-Encoding）而改变。此信息有助于浏览器确定是否应该使用缓存的响应，从而提高性能。

Vary: Accept-Encoding

实施

修改 HTTP 标头的方法取决于所使用的 Web 服务器。以下是一些常见选项：

• Apache HTTP 服务器：在 .htaccess 文件中添加 Header 字段。
• Nginx：在 server {} 块中添加 add_header 指令。
• IIS：使用响应标头功能。

修改 HTTP 标头时，务必小心并彻底测试您的网站，以确保不会产生意外的后果。请务必遵循最佳实践，例如对标头值进行编码，并定期审查和更新您的设置。

通过修改 HTTP 标头，网站所有者可以大大提高其网站的安全性和性能。通过实施本文中讨论的最佳实践，您可以保护您的网站免受攻击，并为您的用户提供最佳的体验。

http1、http1.1和http2的区别

影响一个HTTP网络请求的因素主要有2个：带宽和延迟

主要区别体现在缓存处理： 1⃣️缓存处理。 在http1.0中主要使用header的if-modified-since/expires来做缓存的判断依据。 http1.1引入了更多的缓存策略控制策略。比如Entity tag，If-Unmodified-Since，If-match，If-None-Match等更多可供选择的缓存头来控制缓存。 2⃣️带宽优化及网络连接的使用。 HTTP1.0中存在一些浪费带宽的现象。例如客户端只需要某个对象中的一部分，服务器端却把整个对象送过来了，并且不能支持断点续传的功能。 HTTP1.1在请求头中引入了range头域，它允许只请求资源中的某一部分，即返回码是206（partial content）。方便开发者的自由选择、节省带宽。 3⃣️错误通知的管理。 在HTTP1.1中新增了24个错误状态响应码。如409（conflict）表示请求的资源与资源当前的状态发生冲突，401（gone）表示服务器上的资源被永久的删除。 4⃣️host头处理。 在HTTP1.0中认为每一个服务器都绑定一个ip地址，因此请求消息头中并没有传递主机名（hostname）。 但是随着虚拟主机技术的发展，在一台物理服务器上可以存在多台虚拟主机，并且他们共享一个ip地址。 HTTP1.1中请求和响应都支持host头域，且请求消息中如果没有host头域会报错（400bad request） 5⃣️长链接 HTTP1.1支持长链接和请求的流水线处理，在 一个TCP连接上可以传送多个HTTP请求和响应 ，减少了建立多个连接的消耗和延迟。在HTTP1.1中默认打开onnection:keep-alive，在一定程度上弥补了http1.0每次请求都要重新连接的缺陷。

SPDY优化了HTTP1.x的请求延迟，解决了HTTP1.x的安全性

SPDY的构成图

SPDY位于HTTP之下，TCP和SSL之上，这样就可以轻松兼容老版本的HTTP协议，同时可以使用已有的SSL功能

HTTP2的性能比HTTP1.1好很多，这里是Akamai公司的一个 官方展示

HTTP2.0可以说是SPDY的升级版（原本也是基于SPDY设计的），但是两者还是有一些区别：

服务器推送能把客户端所需要的资源伴随一起发送到客户端，省去了客户端重复请求的步骤。正因为没有发起请求，建立连接等操作，所以静态资源通过服务器推送的方式可以极大地提升速度。

假定一个页面有100个资源需要加载，每一次请求都有1kb的消息头，则至少需要消耗100kb来获取这些请求头。HTTP2.0维护一个字典，差量更新HTTP头部，大大降低因头部传输产生的流量。

HTTP优化的性能并不在于高带宽，而是低延迟。TCP连接会随着时间进行自我调谐，起初会限制连接的最大速度，如果数据传输成功，会随着时间的推移提高传输的速度。这种调谐叫做TCP的慢启动。由于这种原因，让原本就具有突发性和短时性的HTTP连接变得十分低效。 HTTP/2让所有的数据流共用同一个连接 ，可以更有效地使用TCP连接，让高带宽也能真正的服务于HTTP的性能提升。

IIS网站服务器性能应如何进行优化

1、减少HTTP请求数量这主要是修改网站代码，减少外部图片、CSS、JS等文件数量，手动合并多个CSS/JavaScript文件。 IIS那里不用设置。 2、使用CDN对于小网站来说，这个就免了吧。 当然有钱人可以试试，可以从技术上解决用户访问网站响应速度慢的问题。 3、启用内容过期对于静态文件启用内容过期可以提高访问性能。 首先网站的目录要划分合理，图片、CSS、JavaScript均放在单独目录下，然后在IIS中选择目录，点属性-HTTP头，启用内容过期，可以选择30天后过去，这样，用户浏览器将比较当前日期和截止日期，以便决定是显示缓存页还是从服务器请求更新的页，由于图片、CSS、JS通常变化较少，因此基本上都从本地缓存读取，从而加快显示速度。 4、启用Gzip压缩HTTP压缩是在Web服务器和浏览器间传输压缩文本内容的方法。 HTTP压缩采用通用的压缩算法如Gzip等压缩HTML、JavaScript或 CSS文件。 压缩的最大好处就是降低了网络传输的数据量，从而提高客户端浏览器的访问速度。 使用方法是，右击“网站”->“属性”，选择“服务”。 在“HTTP压缩”框中选中“压缩静态文件”，“临时目录”建议单独设置另一个盘的目录下。 之后，IIS管理器中，右击“Web服务扩展”->“增加一个新的Web服务扩展”，在“扩展名”中输入“HTTPCompression”，添加“要求的文件”为C:\WINDOWS\system32\inetsrv\，其中Windows系统目录根据您的安装可能有所不同，选中“设置扩展状态为允许”。 最后，使用文本编辑器打开C:\Windows\System32\inetsrv\，在HcFileExtensions中增加需要压缩的静态文件后缀名，默认为HTML和TXT文件，建议再添加上js、css等，不要添加图片或ZIP等已经被压缩的文件。 5、将样式文件放在头部这是基本的HTML代码风格，将所有的CSS文件都放在HTML页面的头部。 6、将脚本文件放在尾部这也是基本的HTML代码风格，将所有的JavaScript文件都放在HTML页面的尾部。 7、避免CSS表达式这点很简单，因为大多数人从来不用CSS表达式。 8、使用外部的JavaScript和CSS将所有的JavaScript和CSS都做成外部文件的形式进行引用，这主要是为了让这些文件可以被浏览器缓存起来，参见第三点的介绍。 9、减少DNS查询域名的DNS查询会带来额外的访问开销，减少页面内文件的主机域名数量，一个页面的主机域名保持在2-4个以内，这样就不会降低页面的装入速度。 10、压缩JavaScript文件压缩脚本文件，删除不必要的字符，可以改善加载时间，目前有很多JavaScript文件的压缩工具，我这里有一个GUI界面的JS压缩工具供下载。 11、避免重定向网页的重定向会带来额外的运行开销，因此要避免页面进行重定向跳转操作。 12、删除重复脚本一个页面两次包含同一个JavaScript文件会影响加载的性能，因此需要将重复的脚本文件删除。 13、配置ETag这是一个令人迷惑的问题。 理论上说将服务器的ETag删除会提高HTTP请求的性能，但是按照微软官方提供的修改方法配置IIS 6.0，并没有实际效果，最终我使用了一个remetag，以ISAPI的方式实现了删除ETag的功能。

网站的头部（head）如何优化

HTML代码中<head></head>间的区域，我们称之为页面的头部，在页面头部中，通常存放一些介要跟页面内容的信息，例如，网站标题，网站关键字，网站描述标签的内容。

<head><metahttp-equiv=Content-Typecontent=text/html;charset=utf-8/><title>头部怎么优化</title></head>

<title>标签也称为标题标签，标题标签内容是对网页主题的概括，相当于一篇文章的题目。标题标签的优化是网站优化中最重要的内容之一，对页面相关性产生决定的影响。大多数搜索引擎都是提取网页标题中的全部或部分内容作为搜索结果中摘要信息的标题向用户展示的。因此，在拟写标题内容时，要做到主题突出、内容简洁。

标题优化主要包括标题内容的长度控制、关键字分布、关键字词频及关键字组合技项等。

(1)标题长度

从上面介绍得知，搜索结果页中摘要信息的标题主要来源于页面的标题内容。但是为了提高页面的用户体验，搜索引擎会根据实际情况从页面标题中取全部或部分重要内容向用户展示，这在不同的搜索引擎中又会有所区别。例如，GOOGLE搜索结果中摘要信息的标题长度一般在70B左右，而网络则只有56B左右，腾讯则是68B。由此可知，搜索引擎对页面标题睥长度是有一定限制的。尽管这并不能说明搜索引擎会忽略超出限制的哪部分内容，但至少说明搜索引擎不重视这部分内容。所以，我们在拟定页面标题时，应把标题内容长度限制在28个中文字符（56个英文字符）以内，或者让相对重要的内容出现在这个范围。

(2)关键字分布

关键字分布是指关键字在标题中出现的位置。很多人喜欢把公司或者网站的名称放在标题的最前面，特别是首页。这站在搜索引擎优化的角度这是一个非常不明智的做法，除非你的公司或者网站乐称就是你想要优化的关键字。

搜索引擎分析页面的时候，在HTML源代码中自上而下地进行的，标题内容又是网页中最先出现的信息。因此，在标题内容的最前面加上页面关键字，可以有效突出页面的主题，提高页面相关性。

(3)关键字词频

很多人以为标题中主关键字词频越大越好，于是在标题中不断地重复该关键字。

实际上，不管在页面什么位置，主关键字的词频都并非越多越好，而是有一定的限制。我认为在标题内容中主关键字的词频出现在3次以内，每个辅关键字只出现1次是比较合理的。例如<title>旅游|北京旅游|旅游线路</title>。

在标题中，即使主辅关键字及词频都相同，表达方式也各有不同。下面所示是两种常见的标题表达方式：

方式一：<title>旅游|北京旅游|旅游网站</title>；

方式二：<title>旅游-打造全国最好的旅游网站</title>

这两种表达方式除了能有效提高主关键字“旅游”的词频外，还增加了意义相近的辅关键字“旅游网站”。其中方式1采用的是多个关键字简单排列的形式。而方式2采取的是对主关键字进行描述的形式。这样不但可以使搜索引擎更青睐，还能吸引用户的点击量。

(4)关键字组合技巧

标题优化的最后一个环节就是如何实现标题中主辅关键字的组合与分隔的问题。在讲述URL优化时，我们通过分隔符对URL各组成部分的名称进行分隔、组合后拓展了URL的意义。同样，标题中，我们也通过分隔符对标题中的多个关键字进行分隔、组合拓展标题的意义。

若对本页面资源感兴趣，请点击下方或右方图片，注册登录后

搜索本页相关的【资源名】【软件名】【功能词】或有关的关键词，即可找到您想要的资源

如有其他疑问，请咨询右下角【在线客服】，谢谢支持！